Vào ngày 1 tháng 4, Ola Finance công bố số tiền đã bị mất trong một cuộc tấn công “Reentrancy”.
Theo một báo cáo được công bố bởi các nhà phát triển, vào hôm thứ 5 vừa qua, giao thức cho vay phi tập trung Ola Finance đã được khai thác với giá hơn 4,67 triệu đô la ở một cuộc tấn công “re-entrancy”.
Ola đã vận hành giao thức tài chính phi tập trung (DeFi) trên các nền tảng blockchain, và cuộc tấn vào hôm thứ 5 vừa qua, đã nhắm mục tiêu vào hoạt động triển khai của Ola trên mạng Fuse. DeFi đề cập đến việc sử dụng các hợp đồng thông minh thay vì sử dụng các các thứ ba cho các dịch vụ tài chính như cho vay và đi vay.
Các dịch vụ của Ola trên mạng Fuse – một dự án và hệ sinh thái có nền tảng blockchain tương thích với Ethereum với khả năng thực hiện giao dịch nhanh chóng và chi phí thấp đã được khai thác với giá 216.964 USDC, 507.216 BUSD, 200.000 fUSD, 550 token được gắn với giá trị của Ether (ETH), 26.25 token được gắn với giá trị của Bitcoin, và 1.240.000 FUSE. Ola trị giá hơn 4,67 triệu đô la theo thời giá hiện tại.
Cuộc tấn công xảy ra thông qua một lỗ hổng re-entrancy trong tiêu chuẩn token ERC677. Reentrancy là một lỗi phổ biến, cho phép kẻ tấn công thực hiện hành vi lừa đảo trên hợp đồng thông minh bằng cách tạo các cuộc gọi lặp đi lặp lại đến một giao thức để đánh cắp tài sản. Cuộc gọi là sự ủy quyền để địa chỉ hợp đồng thông minh có thể tương tác với địa chỉ ví của người dùng.
Trong giao dịch tấn công đầu tiên, kẻ trộm đã vay 515 WETH từ cặp WETH-WBTC trên Voltage Finance nhằm viện trợ cho cuộc tấn công. Trong các giao dịch sau đó, kẻ tấn công đã “trộm” thành công trong một khoản vay nhanh (dạng vay và trả lại tài sản vay chỉ trong một giao dịch, không cần tài sản thế chấp) bằng cách sử dụng số tiền đã đánh cắp được. Voltage là một giao thức giao dịch phi tập trung cho phép giao dịch các mã token DeFi một cách tự động trên mạng Fuse.
Những kẻ tấn công có thể đánh lừa các hợp đồng thông minh của Voltage bằng cách chuyển các tài sản được bao bọc – được neo vào giá trị của một tài sản mã hóa khác – tạo ra bằng cách sử dụng các khoản vay nhanh, một hình thức cho vay không tập trung – sau đó sẽ điều hướng hợp đồng thông minh chuyển tiền từ Voltage đến địa chỉ của tin tặc.
Ola Finance cho biết cuộc tấn công không thể được nhân rộng trên các mạng cho vay khác mà Ola hỗ trợ. “Chúng tôi sẽ điều tra sự logic trong từng giao dịch của các token để đảm bảo không có tiêu chuẩn token có vấn đề được sử dụng”, các nhà phát triển cho biết.
Trong khi đó, Voltage cho biết họ đang nói chuyện với các bên bên ngoài để truy tìm kẻ tấn công và lập kế hoạch bồi thường cho những người dùng bị ảnh hưởng.
Theo Coindesk